BadUSB le code malveillant non corrigible publié sur Github

Table des matières

• BadUSB : Le malware USB non corrigible et non réparable
• Qu’est-ce que BadUSB ?
• BadUSB sur Github
• Non corrigible !!!

BadUSB : Le malware USB non corrigible et non réparable

Exactement deux mois après que le chercheur Karsten Nohl a démontré une attaque qu’il a appelée BadUSB devant une foule debout à la conférence de sécurité Black Hat à Las Vegas. Le BadUSB a ensuite été de nouveau démontré par deux chercheurs, Adam Caudill et Brandon Wilson. Caudill et Wilson ont présenté la vulnérabilité lors de la conférence Derbycon 4.0 la semaine dernière à Louisville.

Qu’est-ce que BadUSB ?

Le malware qui est surnommé BadUSB reprogramme le firmware intégré pour donner aux appareils USB de nouvelles capacités secrètes et très puissantes. Lors d’une démonstration à la conférence de sécurité Black Hat à Las Vegas, une clé USB a été infectée et a montré sa capacité à agir comme un clavier qui tape furtivement des commandes malveillantes dans les ordinateurs connectés.

Une autre clé USB a été de même reprogrammée pour agir comme une carte réseau qui amène les ordinateurs connectés à se connecter à des sites malveillants se faisant passer pour Google, Facebook ou d’autres destinations de confiance. La démonstration a montré que des hacks similaires pouvaient fonctionner contre des téléphones Android lorsqu’ils sont connectés à des ordinateurs ciblés. Le malware est si vaste qu’il peut fonctionner sur presque tous les appareils liés à USB comme des webcams, des claviers, des smartphones, etc.

BadUSB sur Github

Les chercheurs Wilson et Caudill ont inversé l’ingénierie du firmware USB et l’ont reprogrammé pour lancer diverses attaques. Ils ont ensuite mis le code de BadUSB sur Github dans le but d’informer tous les utilisateurs de ses effets.

« La croyance que nous avons est que tout cela devrait être public. Cela ne devrait pas être retenu. Donc, nous publions tout ce que nous avons », a déclaré Caudill au public de Derbycon vendredi. « Cela a été largement inspiré par le fait que [SR Labs] n’a pas publié leur matériel. Si vous allez prouver qu’il y a une faille, vous devez publier le matériel afin que les gens puissent se défendre contre cela. »

Caudill et Wilson ont discuté de divers scénarios où BadUSB peut être utilisé. Parmi eux, le plus important et le plus mortel est l’appareil USB qui émule un clavier et émet des commandes au nom d’un utilisateur connecté pour exfiltrer des données ou installer un malware.

Non corrigible !!!

BadUSB reste non corrigible pour le moment. La raison, selon les deux chercheurs, est que les puces de contrôleur USB dans les périphériques peuvent être reprogrammées pour usurper d’autres appareils et qu’il y a peu ou pas de protection pour empêcher quiconque de le faire. Ils estiment également que, puisque les USB sont fabriqués en masse de nos jours, cela prouve que n’importe qui peut entrer le code pour insérer le malware et prendre le contrôle de n’importe quel système, peut-être que les fabricants de USB seront sous pression pour le corriger bientôt.

« Si les seules personnes qui peuvent faire cela sont celles avec des budgets significatifs, les fabricants ne feront jamais rien à ce sujet », a déclaré Caudill à Wired. « Vous devez prouver au monde que c’est pratique, que n’importe qui peut le faire… Cela met la pression sur les fabricants pour qu’ils corrigent le véritable problème. »

Les chercheurs espèrent également que mettre le code sur Github encouragera les entreprises et les chercheurs en chapeau blanc à trouver une solution au malware.

D’autres tests ont déterminé qu’environ la moitié des appareils USB disponibles à l’heure actuelle sont affectés par cette vulnérabilité, lisez plus sur les résultats des tests ici.